В связи с тем, что в будущем ожидается опакечивание отдельных LSM модулей (например, уже есть realtime-lsm и trustees-lsm), то было неплохо вынести CONFIG_SECURITY_CAPABILITIES в модуль.
Насколько я понял, упомянутые модули LSM к настоящему моменту успешно забыты. Вынесение же CONFIG_SECURITY_CAPABILITIES создаёт кучу проблем, которые, конечно, можно обойти, но проще будет при необходимости использовать другие модули LSM загружать ядро с параметром capability.disable=1.